Club ISO 27001 11 Juin 2009 Risk IT et ISO 2700x complémentarité ou concurrence? Jean-Luc STRAUSS 11 Juin 2009
Risk IT et ISO 2700x: guerre des organismes? National Institute of Standards and Technology NIST PMI ITIL IT Information Library Project management Institute SEI Software Engineering Institute 270xx 270xx 270xx 270xx VAL IT 27007 Guide d audit 27006 certification 27004 Métrages et métriques 27001 Systèmes de management de la sécurité de l'information 27003 Guide d implémentation 27002 Bonnes pratiques 27005 Processus de gestion du risque 27000 Principes et vocabulaire Risk IT CobiT Control Objectives for IT and related Technologies Information Systems Audit and Control Association Bonnes pratiques ISACA normes ISO 9000 ISO International Standards on Auditing COSO ISA COSO (Committee of Sponsoring Organizations of the Treadway Commission) has established a common internal control model against which companies and organizations may assess their control systems 2
Les risques informatiques majeurs d après PwC les six risques principaux identifiés part les seniors managers et les responsables de l'audit interne risques sur la qualité des données risques processus business sécurité et protection des données risques de gouvernance IT continuité de services risques projets IT (pas de ROI ou retard) 40% 50% 60% 63% 68% 70% 0% 10% 20% 30% 40% 50% 60% 70% 80% IT Governance IT Compliance Data security & privacy Business systems IT resilience & continuity Emerging technology IT asset management Data quality risk IT sourcing IT projects Global IT 3
Risk IT: Le positionnement respectif des trois cadres du monde CobiT CobiT vient du monde de l audit informatique et a pour objectif de s assurer que l informatique remplit le rôle qui lui a été assigné dans le développement de l entreprise. CobiT V4.1 décrit l informatique en 4 domaines de 34 processus qui respectent la déclinaison : planifier, construire, opérer et surveiller. Chaque processus peut être évalué sur une échelle de maturité de 0 à 5. CobiT s est imposé comme une description de référence de la gouvernance de l informatique, un langage compréhensible par toutes les parties-prenantes et permet de construire facilement des tableaux de type BSC pour évaluer la performance globale de l informatique. De la notion initiale de contrôle, on est passé à l évaluation plus précise de la valeur: Val IT et à la maîtrise des risques informatiques: Risk IT 4
Risk IT : la philosophie générale Les deux principes de base: 1. La gouvernance d entreprise efficace des risques informatiques Les risques informatiques sont traités comme des risques Métiers dans une approche complète et transversale, ils sont traités en fonction de l impact qu ils peuvent avoir sur l accomplissement des objectifs Métiers ou la stratégie Ils sont considérés soit comme une protection contre la destruction de valeur, soit comme générateur de valeur La gestion des risques informatiques est complètement alignée sur la gestion globale des risques de l entreprise: ERM La gestion des risques informatiques prend en compte l appétence pour le risque ainsi que l équilibre coût/bénéfices 2. Le traitement efficace des risques informatiques Une communication ouverte Donne l exemple depuis le sommet et assure une responsabilisation personnelle Définit les conditions aux limites du traitement des risques S inscrit dans un processus continu et dans le quotidien opérationnel Nécessite la définition rigoureuse des rôles et responsabilités dans la gestion des risques informatiques Traitement du risque 5
Risk IT : les types de risques Les risques informatiques sont appréhendés sous trois catégories: Le risque de livraison des services informatiques IT, lié à la performance et à la continuité Le risque de ROI des solutions, lié en général au risques projets Le risque de ne pas atteindre les bénéfices espérés, lié à un manque d utilisation des bonnes technologies les blocs de base d un bon système de gestion des risques informatiques sont: Définir toutes les responsabilités Définir les objectifs et l appétence/tolérance aux risques Identifier, analyser et décrire les risques Surveiller l exposition aux risques Traiter les risques Faire le lien avec les autres systèmes de gestion des risques d entreprise 6
Risk IT : exemple d un processus et de ses activités Risk IT identifie trois domaines de trois processus essentiels chacun et 46 activités en tout 7
Risk IT : niveau de maturité Pour chaque domaine de risque informatique, il existe des modèles de maturité globaux et détaillés. L utilisation des modèles de maturité permet au management d identifier: les performances actuelles de l entreprise les objectifs d amélioration (p.ex. appétance pour le risque, style de gestion, capacité d exposition au risque,..) Les modèles détaillés sont construits autour des attributs suivants: Sensibilisation et communication Responsabilités et imputabilité Définition des objectifs et mesures associées Politiques, standards et procédures Compétences et expertises Outils et automatisation ISO 27004?? Modèle de maturité 8
Risk IT: à qui cela s adresse-t-il? 9
Risk IT: le RACI R = responsible; A = accountable; C = consulted; I = informed 10
Risk IT : que communiquer à qui Risk Key Indicators 11
27001: Les systèmes de management de la sécurité de l'information 1. Quatre principes fondamentaux Le pilotage par les risques L amélioration continue (cycle PDCA) L implication du management L approche processus 2. Sept processus essentiels Piloter le SMSI. Analyser les risques. Gérer le traitement des risques. Former et sensibiliser. Contrôler le SMSI. Gérer les incidents et les vulnérabilités. Gérer les documentations et les preuves 3. La certification 4. La communication Dialogue et communication Compréhensible par la direction générale Facilite l'implication des métiers Permet à la SSI d'entrer dans la gouvernance comme le reste Lien avec les processus ISO 2000-1 (ITIL) pour la production informatique Meilleure lisibilité de la SSI et du rôle du RSSI 12
27001: structure de la norme 13
ISO 27005 : description en mode PDCA 14
ISO 27005 : plan 15
ISO 27005 : quelques détail sur l appréciation du risque 16
Comparaison synthétique Objet ISO 2700x RISK IT Famille Pour qui Objectifs Positionnement dans la gouvernance de l entreprise Aspects majeurs Points forts Points faibles Curiosités ISO/AFNOR RSSI??? RSI? DSI?? Auditeurs?? DG?? 1. Gérer au mieux la sécurité informatique 2. Certifier les entreprises Problématique de la place du RSSI : trop technique (?) pour être auditeur trop juge et partie pour être dans la DSI Rôles MOA/MOE? Efficacité opérationnelle et couverture large Expertise opérationnelle pensé d abord pour les opérationnels sans liens clairs avec les métiers; autorité pour estimer les risques? PCA relève du RSSI dans la DSI??? ISACA/FAI RSSI, DG, Board, auditeurs, 1. Intégrer au mieux les risques informatiques dans l entreprise 2. Évaluer leur niveau de maturité Intégration «naturelle» dans le cadre de l ERM Échelle de maturité globale et par processus RACI global ; liaison ERM CobiT et Risk IT d abord pensés pour les auditeurs avant les opérationnels CobiT sans CobiT? 17
Propositions 1. Replacer la sécurité informatique dans le cadre de la gestion des risques de l entreprise et de la gouvernance globale, 2. Élargir le champ conceptuel de la sécurité au-delà des aspects contrôle, protection 3. Etablir la sécurité informatique comme un facteur essentiel pour RASSURER les parties-prenantes de l entreprise sur: sa capacité à survivre à des évènements très divers, voire très graves sans gros dommages Sa capacité à maîtriser son environnement pour générer un maximum de confiance et donc accroître sa capacité à développer les affaires 4. Etablir de façon rigoureuse la valeur ajoutée de la discipline dans l entreprise en identifiant non seulement les risques mais également les facteurs contributifs à l augmentation de la valeur des Métiers dans l entreprise 5. Pour cela, il important, à partir de l analyse contextualisée des menaces, problématiques et opportunités de l entreprise, d identifier les bons chantiers de préservation et amélioration de la valeur auxquels peut contribuer une bonne stratégie de sécurité informatique, portée par le RSSI 6. Positionner correctement le RSSI dans le schéma de gouvernance globale de l entreprise 18
Repartons du contexte global et regardons l organisation de l entreprise dans son environnement Evolutions socioéconomiques SOUS-TRAITANTS PARTENAIRES Evolutions politiques et géopolitiques 1 La compréhension de l environnement FOURNISSEURS PRESTATAIRES Evolutions Ecologiques Les parties prenantes EMPLOYES ACTIONNAIRES 2 La synthèse des demandes Evolutions du marché et de la concurrence ANALYSTES SOCIETE Evolutions technologiques [PESTEL] DISTRIBUTEURS CLIENTS Les problématiques Les opportunités BOARD 3 La vision, la stratégie & les objectifs Comité de direction Comité d audit CPM DG ERM + Compliance REGULATEURS ADMINISTRATIONS [SWOT] GOUVERNANCE OPERATIONS Fonctions Métier Métier Métier Être plus proche Acquérir et retenir Développer la confiance Satisfaire Customer Centricity Mieux comprendre 4 Les réponses suivant 4 axes compétitivité agilité qualité continuité performances Operational Efficiency Contrôle interne CONTROLES Audit Contrôle Contrôle interne interne transparence conformité Risques Trustworthy compliance Gouvernance Business Transformation By IT Services Développements 19
Exemples de problématiques et d opportunités orientées risques informatiques Evolutions socioéconomiques Les problématiques GOUVERNANCE SOUS-TRAITANTS PARTENAIRES DISTRIBUTEURS Développer la confiance Evolutions politiques et géopolitiques Gouvernance FOURNISSEURS Acquérir et retenir Les parties prenantes PRESTATAIRES EMPLOYES Les demandes qualité Operational Efficiency continuité ACTIONNAIRES Business Transformation By IT transparence ANALYSTES SOCIETE Les opportunités REGULATEURS conformité Trustworthy compliance Développements Services Risques Evolutions technologiques La pression concurrentielle mondiale très forte le rythme accéléré du changement et la volatilité accrue des clients Le respect des diverses règlementations ADMINISTRATIONSet lois CLIENTS L ouverture de l entreprise sur son éco-système en entreprise VISION BOARD L engagement MISSIONS en faveur du développement durable et de la étendue à toutes ses parties-prenantes, y compris les nouveaux protection des données privées modes de travail mobiles et à distance Comité de direction Stratégie La maîtrise Comité démontrée d audit des risques et menaces L augmentation de la complexité CPM DG ERM + Compliance l augmentation du nombre de risques (dépendance, ondes EM, Objectifs nouvelles maladies, exposition aux produits chimiques et biologiques, etc..) et de l occurrence des risques majeurs (catastrophes naturelles, terrorisme, etc ) Les réponses OPERATIONS Génèrent la CONTROLES confiance et rassurent les parties-prenantes sur la l augmentation de la surveillance financière, règlementaire et suivant 4 axes survie à moyen terme de l entreprise sociétale Fonctions Audit Augmentent la réputation et favorisent le développement des La multiplication des objets intelligents autonomes Métier et Métier Métier affaires Contrôle dans la Contrôle confiance Contrôle et la sécurité communicants interne interne interne Accroissent la valeur perçue de l entreprise Augmentent les tentations de baisse de la vigilance sur les risques Satisfaire Customer pour répondre rapidement aux demandes Être plus Accroissent le nombre et la nature des risques Centricity proche malveillants, mieux comprendre accidentels et opérationnels dont il faut s occuper Augmentent la charge de contrôle et surveillance pour répondre à la surveillance renforcée de l entreprise 1 La compréhension de l environnement Evolutions Ecologiques Evolutions du marché et de la concurrence 20
Exemples de réponses aux demandes des partiesprenantes suivant 4 axes stratégiques Être plus proche Portail sécurisé Accès à distance sécurisé Customer Centricity Développer la confiance mieux comprendre Identification et authentification fortes confidentialité des échanges Notarisation des transactions Sécurisation des OIAC Acquérir et retenir GOUVERNANCE Evolutions politiques et géopolitiques agilité compétitivité Operational Efficiency performances qualité Les parties prenantes DG Les réponses suivant 4 axes Fonctions Gouvernance Développement Services Métier Métier Métier OPERATIONS Gouverna Business Transformation By IT nce Evolutions du marché et de la continuité concurrence conformité Satisfaire Capacité Réactivité PRESTATAIRES Disponibilité EMPLOYES Identification et Evolutions à prendre ACTIONNAIRES FOURNISSEURS aux et fiabilité évaluation Normes et PAQ technologiques Modélisation Reporting SOUS-TRAITANTS en incidents Paiements Zone de continuelles des ANALYSTES Risques avancée règlementaire compte de sécurité SOCIETE sécurisés et confiance risques PARTENAIRES Les demandes les Protection des Evolutions traçablesocio- économiques Continuité des REGULATEURSProtéger la Archivage [SWOT] légal nouveaux Capacité à Gestion des données privées Signature DISTRIBUTEURS risques affaires réputation anticiper changements Les problématiques Les opportunités ADMINISTRATIONS électronique les risques Traquer la nonconformité Former et Amélioration CLIENTS Surveillance des des informer Messagerie Gestion des crises VISION acteurs BOARD à risques MISSIONS processus Mesurer et Sécurisée rapporter DSI 1 La compréhension de l environnement Gestion active des éléments techniques Intégrité des données Traçabilité standardisée Business Transformation by IT Contrôle interne Audit Contrôle Contrôle interne interne Architecture de Pistes compétit PKI et Antiintrusion DéveloppeIAM Acquéri Décisionnel ECM sécurité d audit Comité de direction ivité Stratégie qualité annuaire transpare Comité d audit conformit r la r et agilité performa contin nce é Satisfair confiance retenir Surveillance Politique de biométrie Anti-perturbation Customer CPM Anti-fuite nces uité ERM + Compliance Surveillance Risques Être e active Objectifs SécuritéTrustworthy plus Centricity Operational mieux compliance proche Efficiency comprendre RSSI CONTROLES Développem ents Services Trustworthy Compliance Risques CobiT RiskIT ISO 2700x SOX - PCI-DSS transparence 21
Ce qui peut donner un schéma global comme ci-dessous DISTRIBUTEURS DISTRIBUTEURS CLIENTS CLIENTS Les Métiers de l entreprise CREATION DE VALEUR SOUS-TRAITANTS SOUS-TRAITANTS PARTENAIRES PARTENAIRES Gestion des risques d entreprise CONFIANCE Gestion des risques informatiques FOURNISSEURS FOURNISSEURS Gestion de la sécurité informatique PROTECTION CONTINUITE Risques opérationnels Risques des états financiers Risques environnementaux Gestion Risques produits Risques de réputation Opérationnelle Risques de conformité PCA CONFIDENTIALITE Sécurité des OIAC PRESTATAIRES PRESTATAIRES Utilisation des bonnes pratiques. ITIL DIRECTION GENERALE Cloud security EMPLOYES EMPLOYES RSSI PERENITE TRACABILITE Risques clients Risques de crédit Risques de fraude ISO 27005 ISO 27001 ISO 27002 IAM ACTIONNAIRES ACTIONNAIRES TRANSPARENCE Risques fournisseurs Risques projets Risques de marché Gestion Règlementaire. RISK IT CobiT DLP ANALYSTES ANALYSTES CONFORMITES REGLEMENTAIRES Bâle II PCI-DSS COSO REGULATEURS REGULATEURS Le contrôle de l entreprise Solvency II SOX SOCIETE SOCIETE ADMINISTRATIONS ADMINISTRATIONS PRESERVATION DE LA VALEUR Risques particuliers 22
CONCLUSIONS? 1. Il y a complémentarité manifeste entre Risk IT et ISO 2700x dans l interpénétration entreprise : informatique dans une perspective d alignement stratégique profond Mais l accumulation de normes et/ou bonnes pratiques est perturbatrice pour la bonne compréhension des DG 2. Il y a même convergence globale et il faut faire en sorte que les divers organismes continuent dans cette voie Se mettre d accord sur les modèles d appréciation des risques et leur traitement Choix entre certification et évaluation de maturité 3. Il y a sûrement un travail important à faire pour mieux définir et positionner le RSSI dans l organisation de l entreprise La fonction doit être comprise et reconnue comme intégrée dans la gestion globale des risques de l entreprise 23